La mayoría de las aplicaciones de seguimiento de contactos fallan en la seguridad básica



Una encuesta de 17 aplicaciones de Android para informar a los ciudadanos si tenían contacto potencial con una persona infectada con COVD-19 encuentra que pocos han adoptado técnicas de endurecimiento de código.

Las agencias gubernamentales y las organizaciones privadas que están desarrollando aplicaciones de rastreo de contactos para ayudar a los ciudadanos a mantenerse informados sobre su riesgo potencial de infección no han brindado protecciones adecuadas contra el compromiso y la piratería, afirmó la firma de seguridad de aplicaciones móviles Guardsquare en un informe publicado el jueves.

La compañía analizó 17 aplicaciones de Android, buscando seis tipos diferentes de contramedidas de seguridad que la compañía considera necesarias para proteger la privacidad del usuario y evitar que los datos recopilados por la aplicación de contacto se utilicen para fines imprevistos. Según el informe, solo una de las aplicaciones incluía cifrado completo y ofuscación de datos confidenciales.

A pesar de la necesidad de poner rápidamente las capacidades de búsqueda de contratos en manos de los ciudadanos, los países deben tener la privacidad correcta, dice Grant Goodes, científico jefe de Guardsquare.

«En la actualidad, con la desconfianza un tanto comprensible de la gente hacia el gobierno, si intenta desplegar algo, con un propósito legítimo y con un propósito bien intencionado, pero comete un error de seguridad gigante, como lo hizo la aplicación de Dakota del Norte, usted destruirá la confianza pública «, dice. «Y realmente solo tienes una oportunidad en estas cosas».

El rastreo de contactos se considera ampliamente como un paso necesario para que los países sigan abriendo sus economías mientras reducen la transmisión de enfermedades infecciosas. El rastreo handbook de contactos, el único método efectivo en el pasado, requiere una fuerza de trabajo masiva. Antes de la epidemia, los departamentos de salud estatales y locales empleaban menos de 2,000 rastreadores de contacto, pero puede ser necesario entre 100,000 y 300,000.

«La identificación rápida, el aislamiento voluntario o la cuarentena y el monitoreo de una persona diagnosticada con COVID-19 y sus contactos pueden romper efectivamente la cadena de transmisión de la enfermedad y prevenir una mayor propagación del virus», dijo el Centro para el Control de Enfermedades de EE. UU. una declaración de política. «La investigación de casos y el rastreo de contactos son medidas básicas de regulate de enfermedades que han sido utilizadas por los departamentos de salud estatales y locales durante décadas para retrasar o detener la propagación de enfermedades infecciosas».

Las aplicaciones de rastreo de contactos hacen que el proceso sea más preciso y menos intensivo en mano de obra, pero generan importantes preocupaciones de privacidad. Uno de los primeros en adoptar el rastreo de contratos, China, utiliza un sistema centralizado que no tiene protecciones significativas para la privacidad de los ciudadanos, lo que permite a la policía verificar el estado de las personas mientras viajan entre varios lugares. El Reino Unido y Francia también están siguiendo un modelo centralizado, elevando el espectro de grandes bases de datos de datos de geolocalización en sus ciudadanos almacenados en servidores de propiedad del gobierno.

Los defensores de la privacidad han argumentado que el rastreo descentralizado de contactos es la única forma de proceder. En mayo, Apple y Google lanzó una iniciativa conjunta para crear un marco para el seguimiento de contactos de preservación de privacidad que solo almacena datos de ubicación en el dispositivo. Tal rastreo distribuido de contactos es la forma preferida entre los tecnólogos para implementar la tecnología, pero las personas no han adoptado dicha tecnología opcional muy rápidamente. En Alemania, que lanzó su aplicación esta semana, es possible que solo el 41% de las personas adopten la aplicación, mientras que el 46% no está dispuesto a usar el seguimiento de contactos, una encuesta encontrada, según el Wall Road Journal.

Es incluso menos possible que las personas adopten aplicaciones si se encuentran problemas de seguridad, dice Goodes de Guardsquare. En mayo, Amnistía Internacional encontrado debilidades de seguridad significativas en la aplicación obligatoria de rastreo de contactos en Qatar, problemas que expusieron a más de 1 millón de personas. Servicio de configuración professional-privacidad Jumbo analizó la aplicación de seguimiento de contactos Treatment19 desarrollado por Dakota del Norte y descubrió que no cumple con su propia política de privacidad, al compartir información sobre la ubicación del usuario con el servicio de publicidad basado en geolocalización FourSquare. En junio, FourSquare permitió a los desarrolladores deshabilitar la ID de publicidad que podría usarse para rastrear usuarios.

En su analisis, Guardsquare consideró que eran necesarias seis formas diferentes de protección de datos para proteger la privacidad de un usuario en las aplicaciones. El código debe tener ofuscación para dificultar la ingeniería inversa, encriptación de cadenas para proteger las variables y nombres de códigos sensibles, encriptación de activos para evitar que los atacantes accedan a partes del programa y ofuscación adicional para fortalecer el computer software. Además, el programa debe tener comprobaciones para evitar que se ejecute en un dispositivo comprometido o en un emulador.

Estas medidas ni siquiera tienen en cuenta cómo la aplicación y el gobierno detrás de la aplicación manejan los datos. Sin embargo, solo una sola aplicación, de 17, logró implementar todas las medidas de endurecimiento de la aplicación, declaró Guardsquare en su análisis. Las cinco aplicaciones probadas en las Américas adoptaron tres de las técnicas, pero ninguna adoptó las otras tres medidas de seguridad. Las aplicaciones creadas para el mercado del Medio Oriente tenían la menor cantidad de medidas de seguridad, con solo dos de las cuatro aplicaciones que incluso adoptaron un método de cifrado u ofuscación.

«Esta forma de rastreo de contacto voluntario podría ser una forma de bloqueo mucho más suave, si las personas confían en él y funciona correctamente», dice Goodes. «El problema es que recién estamos comenzando a lanzar estas aplicaciones y están siendo apresuradas, sin la seguridad adecuada».

Hacer que las aplicaciones sean privadas desde el primer momento es elementary, agrega Goodes de Guardsquare. «Hay tantas maneras en que esto puede salir mal», dice. «Hemos visto que cada tecnología tiene un lado oscuro, y la policía ha mostrado su disposición a utilizar cualquier tecnología en su beneficio».

Contenido relacionado:

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Looking through, MIT&#39s Know-how Assessment, Well-liked Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia first